升级域控制器:向现有域添加 Windows Server 2008 或 Windows Server 2008 R2 域控制器的 Microsoft 支持快速入门

1(共 1)对本文的评价是有帮助 - 评价此主题                         

更新时间: 2011年11月

应用到: Windows Server 2008, Windows Server 2008 R2

本主题介绍将域控制器升级到 Windows Server 2008 或 Windows Server 2008 R2 的过程。这些信息基于 Microsoft 客户服务和支持 (CSS) 团队的经验。本主题包含指向升级过程相关信息的链接。

若要获取本指南的可打印 .doc 文件格式的副本,请参阅 Microsoft 下载中心 (http://go.microsoft.com/fwlink/?LinkId=178585) 的将 Active Directory 域升级到 Windows Server 2008 和 Windows Server 2008 R2 AD DS 域(可能为英文网页)。

      

下表中具有指向 Windows Server 2008 和 Windows Server 2008 R2 中新增特性与功能的详细信息的链接。

 

操作系统新增功能

Windows Server 2008

有关每种功能、特殊注意事项以及如何准备部署的信息,请参阅从 Windows Server 2003 Service Pack 1 (SP1) 到 Windows Server 2008 的功能更改 (http://go.microsoft.com/fwlink/?LinkId=164410)(可能为英文网页)。

有关 Windows Server 2008 中的 Active Directory 域服务 (AD DS) 的特定功能的信息,请参阅 Active Directory 域服务角色 (http://go.microsoft.com/fwlink/?LinkId=164414)。

旧版本 Windows Server 中的一些功能在 Windows Server 2008 中已弃用。例如,已默认删除了 SMTP 复制功能。有关更多信息,请参阅 Microsoft 知识库中的文章 947057 (http://go.microsoft.com/fwlink/?LinkId=164416)(可能为英文网页)。默认情况下,浏览器服务在 Windows Server 2008 和 Windows Server 2008 R2 域控制器中已禁用。

Windows Server 2008 R2

有关每种功能、特殊注意事项以及如何准备部署的信息,请参阅从 Windows Server 2008 到 Windows Server 2008 R2(测试版)的功能更改 (http://go.microsoft.com/fwlink/?LinkID=139049)(可能为英文网页)。有关 Windows Server 2008 R2 中 AD DS 中的特定功能的信息,请参阅 Active Directory 域服务中的新增功能 (http://go.microsoft.com/fwlink/?LinkID=139655)。

在 Windows Server 2008 R2 中,Dcpromo.exe 不允许创建具有单标签域名系统 (DNS) 名称的域。如果尝试在具有单标签 DNS 名称(如 contoso 而不是 contoso.com)的域中提升其他域控制器,则 Dcpromo.exe 中没有用于安装 DNS 服务器的复选框。支持在 Windows Server 2008 R2 和 Windows Server 2008 R2 单标签域中升级 Windows Server 2003 域控制器。支持将其他 Windows Server 2008 R2 和 Windows Server 2008 R2 域控制器提升到现有单标签 DNS 域中。

对于针对在相同环境中没有 Windows Server 2003 或 Windows Server 2008 域控制器的 Windows Server 2008 R2 域控制器运行的 Windows NT 4 和 Windows 2000 MSMQ 客户端,Windows Server 2008 R2 在域模式不支持 MSMQ。

有关在 Windows 7 和 Windows Server 2008 R2 中弃用的其他 Windows Server 2003 功能的更多信息,请参阅 Windows 7 和 Windows Server 2008 R2 的弃用功能 (http://go.microsoft.com/fwlink/?LinkId=177815)(可能为英文网页)。

有关 AD DS 的其他已知问题的更多信息,请参阅安装和删除 AD DS 的已知问题 (http://go.microsoft.com/fwlink/?LinkId=164418)。

      

有关 Windows Server 2008 的系统要求,请参阅安装 Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=164421) 中的“系统要求”。

有关 Windows Server 2008 中的 AD DS 的磁盘空间要求,请参阅有关安装和删除 AD DS 的已知问题 (http://go.microsoft.com/fwlink/?LinkId=164423) 中的磁盘空间和组件位置问题

有关 Windows Server 2008 R2 的系统要求,请参阅安装 Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkID=160341)。

有关 Windows Server 2008 R2 中的 AD DS 的磁盘空间要求,请参阅有关安装和删除 AD DS 的已知问题 (http://go.microsoft.com/fwlink/?LinkID=164423) 中的磁盘空间和组件位置问题

Windows Server 2008 R2 域控制器上的 AD DS 数据库 (Ntds.dit) 可能比 Windows 以前版本中的数据库大,原因如下:

  • Windows Server 2008 R2 域控制器上的联机碎片整理进程有所更改。
  • Windows Server 2008 R2 Adprep /forestprep 在大型链接表中添加了两个新索引。
  • 当启用 Windows Server 2008 R2 Active Directory 回收站功能时,该功能将在已回收对象的生存时间内保留已删除对象的属性。

提升到 Windows 2000 域的 Windows Server 2008 域控制器上的 Active Directory 数据库的大小应与 Windows 2000 域控制器上的 Active Directory 数据库的大小相似。Windows Server 2008 R2 的添加内容将增加数据库大小,添加由运行 Windows Server 2003、Windows Server 2003 R2、Windows Server 2008 或 Windows Server 2008 R2 的域控制器支持的单实例存储将抵消这一增加。Windows Server 2008 R2 域控制器的大小估计比 Windows Server 2008 域控制器大 10%,不包括 Active Directory 回收站。

在 Microsoft 的生产 Windows Server 2008 R2 域中,通过使用 deletedObjectLifetimerecycledObjectLifetime 的默认值 180 天,Active Directory 回收站功能将 AD DS 数据库大小另外增加了原始 AD DS 数据库大小的 15-20%。附加空间需求取决于可回收的对象的大小和数目。

如果到 Windows Server 2008 或 Windows Server 2008 R2 的就地升级自动回滚到以前的操作系统版本,请检查承载 AD DS 数据库和日志文件的分区上是否有足够的可用磁盘空间。

      

要升级到 Windows Server 2008,请参阅升级到 Windows Server 2008 的指南 (http://go.microsoft.com/fwlink/?LinkID=146616) 中的“支持的升级路径”。

要升级到 Windows Server 2008 R2,请参阅安装 Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkID=160341) 和 Windows Server 2008 R2 升级路径 (http://go.microsoft.com/fwlink/?LinkID=154894) 中“支持的升级路径”。

升级现有域控制器或将新的域控制器提升到现有域中时,请考虑以下问题:

  • 运行 Windows NT 4 或 Windows 2000 Server 的计算机不能就地升级到 Windows Server 2008 或 Windows Server 2008 R2。
  • 支持从 Windows Server 2003 或 Windows Server 2003 R2 到 Windows Server 2008 或 Windows Server 2008 R2 的就地升级(需遵循受支持的 Windows Server 2008 R2 升级路径),但有以下例外:基于 x86 的操作系统不能就地升级到基于 x64 的 Windows Server 2008 或 Windows Server 2008 R2 版本(该版本仅支持基于 x64 的体系结构)。
  • x64 版本的 Windows Server 2008 可以就地升级到 Windows Server 2008 R2。
  • 可写的域控制器不能升级为 RODC。反之亦然。
  • 运行 Windows Server 2008 R2 的完全安装的服务器不能升级为运行 Windows Server 2008 R2 的服务器核心安装的服务器。反之亦然。
  • 要在现有域中引入操作系统版本比当前域控制器的操作系统版本高的域控制器,最佳做法是将新的域控制器作为额外的域控制器添加到现有域中。
  • 有关支持的升级和不支持的升级的更多信息,请参阅 Windows Server 2008 R2 升级路径 (http://go.microsoft.com/fwlink/?LinkID=154894)。
  • Windows Server 2008 和 Windows Server 2008 R2 都将自动安装 Internet 协议版本 6 (IPv6)。请勿随意禁用或删除 IPv6。
  • 提升 RODC:
    • adprep[32] /rodcprep 命令必须已成功完成。有关如何确认命令成功完成的信息,请参阅运行 adprep.exe (http://go.microsoft.com/fwlink/?LinkID=142597)。
    • 林功能级别必须为 Windows Server 2003 或更高。
    • 目标域中必须存在一个可写(或“完整”)的域控制器,该域控制器运行 Windows Server 2008 或 Windows Server 2008 R2。

Windows Server 2008 R2 不允许在拥有 Windows Server 2008 R2 域控制器的域与 Windows NT 4 域之间建立出站信任关系。Windows Server 2008 R2 可与 Windows NT 4.0 域建立入站信任关系,但是未经测试,也不提供技术支持。这可能会影响到您选择升级域和域控制器的顺序。

例如,假设拥有 Windows Server 2003 域控制器的域与拥有 Windows NT 4 域控制器的域之间存在信任关系。在这种情况下,您需要将 Windows NT 4 域中的域控制器更换为运行 Windows 2000 或更高版本操作系统的域控制器,然后才能升级或更换 Windows Server 2003 域中的域控制器。如果先更换或升级 Windows Server 2003 域中的域控制器,会导致这两个域之间的信任关系失效。

如果要更换域控制器,请使用 Windows Server 2008 和 Windows Server 2008 R2 中的元数据清理方法。手动删除原始角色持有者的 DNS 和 Windows Internet 名称服务 (WINS) 记录。有关更多信息,请参阅清理服务器元数据 (http://go.microsoft.com/fwlink/?LinkId=148150)。

如果要将 AD DS 服务器角色、DNS 服务器角色、IP 地址、计算机名称和支持配置状态从现有服务器迁移到新的 Windows Server 2008 或 Windows Server 2008 R2 目标服务器,请参阅 AD DS 和 DNS 服务器迁移:迁移 AD DS 和 DNS 服务器角色 (http://go.microsoft.com/fwlink/?LinkId=177812)。例如,如果要确保新服务器的 IP 地址或服务器名称与旧服务器相同,或在旧 DNS 服务器上进行了配置更改(如注册表更改或基于文件的 DNS 区域)并需要在新 DNS 服务器上保留这些更改,则请参阅此文章。

      

了解域和林功能 (http://go.microsoft.com/fwlink/?LinkId=164555) 介绍了为 Windows Server 2008 和 Windows Server 2008 R2 域和林功能级别启用的功能。部署 Windows Server 2008 和 Windows Server 2008 R2 域控制器时的域和林功能级别要求如下:

  • Adprep/forestprep 没有任何域或林功能级别要求。
  • Adprep /domainprep 要求每个目标域中都有一个 Windows 2000 纯模式或更高的域功能级别。
  • Adprep /rodcprep 没有任何功能级别要求。
  • 可以在没有任何功能级别要求的相同域或林中安装 Windows 2000、Windows Server 2003、Windows Server 2008 和 Windows Server 2008 R2 域控制器。
  • 只读的域控制器 (RODC) 升级需要 Windows Server 2003 林功能级别或更高级别。
      
  • 不支持运行 Windows NT 4.0 和 Windows 7 或 Windows Server 2008 R2 的计算机之间的安全通道。受影响的操作包括通过安全通道进行的信任验证、域加入和身份验证。
  • 不支持将 Windows NT 4.0、Windows 95 和 Windows 98 计算机加入 Windows Server 2008 和 Windows Server 2008 R2 域或域控制器。
    下表列出了与域控制器交互的客户端操作系统的支持信息。

     

    客户端操作系统 域控制器操作系统
     

    Windows NT 4

    Windows 2000 Server

    Windows Server 2003

    Windows Server 2003 R2

    Windows Server 2008

    Windows Server 2008 R2

    说明

    Windows NT 4

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    未经 Windows 产品组测试,因此不提供支持,但可能能够正常使用。CSS 可以提供最大程度的支持,但不提供升级支持和修补程序。

    未经 Windows 产品组测试,因此不提供支持,但可能能够正常使用。CSS 可以提供最大程度的支持,但不提供升级支持和修补程序。

    改进的默认安全设置会禁止建立和维护域加入操作和安全通道操作,但这些操作在更改默认安全设置之后就能够正常使用。有关更多信息,请参阅 Microsoft 知识库中的文章 942564 (http://go.microsoft.com/fwlink/?LinkId=164558)(可能为英文网页)。

    未经 Windows 产品组测试,因此不提供支持,但可能能够正常使用。CSS 可以提供最大程度的支持,但不提供升级支持和修补程序。

    改进的默认安全设置会禁止建立和维护域加入操作和安全通道操作,但这些操作在更改默认安全设置之后就能够正常使用。

    有关 Windows Server 2008 R2 与 Windows NT 4 域之间的出站信任的更多信息,请参阅文章 2021766 (http://go.microsoft.com/fwlink/?LinkID=205835)。

    默认情况下,在运行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器上,AllowNT4Crypto 策略设置为 0。有关更多信息,请参阅 Windows Server 2008 和 Windows Server 2008 R2 中的安全默认设置

    Windows 2000

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    未经 Windows 产品组测试,因此不提供支持,但可能能够正常使用。CSS 可以提供最大程度的支持,但不提供升级支持和修补程序。

    未经 Windows 产品组测试,因此不提供支持,但可能能够正常使用。CSS 可以提供最大程度的支持,但不提供升级支持和修补程序。

     

    Windows XP

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    如果要部署 RODC,请参阅文章 944043

    Windows Server 2003

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    如果要部署 RODC,请参阅文章 944043

    Windows Server 2003 R2

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

     

    Windows Vista

    未经 Windows 产品组测试,因此不提供支持,但可能能够正常使用。CSS 可以提供最大程度的支持,但不提供升级支持和修补程序。

    域控制器操作系统超出了其支持的生命周期。

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    无法将 Windows Server 2008 R2 或 Windows 7 计算机加入 Active Directory 域 (http://go.microsoft.com/fwlink/?LinkId=192570)

    Windows Server 2008

    未经 Windows 产品组测试,因此不提供支持,但可能能够正常使用。CSS 可以提供最大程度的支持,但不提供升级支持和修补程序。

    域控制器操作系统超出了其支持的生命周期。

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    无法将 Windows Server 2008 R2 或 Windows 7 计算机加入 Active Directory 域 (http://go.microsoft.com/fwlink/?LinkId=192570)

    Windows 7

    强制禁止,不能正常使用

    域控制器操作系统超出了其支持的生命周期。

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    Windows 7 和 Samba 3 互操作性 (http://go.microsoft.com/fwlink/?LinkId=192568)

    无法将 Windows Server 2008 R2 或 Windows 7 计算机加入 Active Directory 域 (http://go.microsoft.com/fwlink/?LinkId=192570)

    Windows Server 2008 R2

    未经 Windows 产品组测试,因此不提供支持。CSS 可以提供最大程度的支持,但不提供升级支持和修补程序。

    域控制器操作系统超出了其支持的生命周期。

    有关 Windows Server 2008 R2 与 Windows NT 4 域之间的出站信任的更多信息,请参阅文章 2021766 (http://go.microsoft.com/fwlink/?LinkID=205835)。

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    经过全面测试,提供技术支持

    Windows 7 和 Samba 3 互操作性 (http://go.microsoft.com/fwlink/?LinkId=192568)

    无法将 Windows Server 2008 R2 或 Windows 7 计算机加入 Active Directory 域 (http://go.microsoft.com/fwlink/?LinkId=192570)

  • Windows 2000、Windows XP、Windows Server 2003、Windows Vista 和 Windows 7 客户端计算机与可写 Windows Server 2008 和 Windows Server 2008 R2 域控制器完全兼容。有关与 RODC 之间的成员计算机互操作性,请参阅部署 RODC 的已知问题 (http://go.microsoft.com/fwlink/?LinkID=164418)(可能为英文网页)。
  • 有关哪些版本的 Microsoft Exchange Server 可与不同版本的 Windows 互操作的更多信息,请参阅 Exchange 服务器可支持性矩阵 (http://go.microsoft.com/fwlink/?LinkID=165034)。
  • Office Communications Server 2007 R2 中的群聊功能在 Windows Server 2008 R2 域中不能正常使用。有关更多信息,请参阅 Microsoft 知识库中的文章 982020 (http://go.microsoft.com/fwlink/?LinkId=190459)。有关将 Office Communications Server 2007 R2 与具有不同版本的 Windows Server 以及不同的域和林功能级别的域控制器结合使用的更多信息,请参阅 Office Communications Server 版本支持的 Active Directory 环境 (http://go.microsoft.com/fwlink/?LinkId=190457)。
  • 有关与 Windows Server 2008 兼容或不兼容的应用程序的列表,请参阅 Microsoft 知识库中的文章 948680 (http://go.microsoft.com/fwlink/?LinkId=184903)。
  • 有关与 Windows Server 2008 R2 兼容或不兼容的应用程序的列表,请参阅 Windows Server 2008 R2 支持的 Microsoft 服务器应用程序 (http://go.microsoft.com/fwlink/?LinkId=184918)(可能为英文网页)。
  • 有关与 RODC 兼容的应用程序的列表,请参阅已知可用于 RODC 的应用程序 (http://go.microsoft.com/fwlink/?LinkID=133779)。Exchange Server 需要一个可写域控制器,因此,它不能使用 RODC。
  • 有关如何将证书颁发机构 (CA) 从旧服务器移动到新服务器的信息,请参阅将 CA 移到其他计算机上 (http://go.microsoft.com/fwlink/?LinkId=185021)。有关如何移动证书服务器数据库和日志文件的信息,请参阅 Microsoft 知识库中的文章 238193 (http://go.microsoft.com/fwlink/?LinkId=185023)(可能为英文网页)。
  • 在向启用了 RemoteFX 的 Windows Server 2008 R2 SP1 Hyper-V 主机添加 AD DS 服务器角色时,VM 来宾未能启动,并且显示错误“系统资源不足”。最佳做法是不要在承载 Hyper-V 服务器角色的计算机上安装 AD DS(域控制器)角色。如果必须将 Hyper-V 和 AD DS 角色安装到同一台物理计算机上,请勿安装远程桌面虚拟主机的 RemoteFX 子组件。
  • 与早期版本的 Windows 相比,Windows Vista 和 Windows Server 2008 及更高版本的操作系统对出站连接使用更高的端口范围。新的默认起始端口是 49152,默认结束端口是 65535。如果出现错误“终结点映射程序超出终结点范围”,尤其是在停用 Windows 2000 或 Windows Server 2003 域控制器之后出现此错误,则可能需要重新配置防火墙和路由器,以便使用新的默认端口范围。有关更多信息,请参阅文章 929851 (http://go.microsoft.com/fwlink/?LinkID=153117)。
      

Windows Server 2008 或 Windows Server 2008 R2 中用于放置操作主机角色(也称为灵活单主机操作或 FSMO)方面的建议没有任何更改。有关当前建议的更多信息,请参阅规划操作主机角色放置 (http://go.microsoft.com/fwlink/?LinkId=185222)。

有一些新的已知内置组,它们是在将保持林中的每个域中的主域控制器 (PDC) 仿真器主机角色的域控制器升级或传送到 Windows Server 2008 或 Windows Server 2008 R2 之后或向域中添加只读的域控制器 (RODC) 之后创建的。有关更多信息,请参阅附录 A:将 Active Directory 域升级到 Windows Server 2008 AD DS 域的背景信息

      

本节列出了运行 Windows Server 2008 或 Windows Server 2008 R2 的 DNS 服务器上可能发生的一些已知问题。对于其他与 DNS 相关的问题,也有修补程序可以解决。有关更多信息,请参阅开始前可以进行的验证和可以安装的建议修补程序

  • 如果运行的 Windows Server 2008 DNS 服务器配置为使用根提示进行 Internet 名称的名称解析,并且它们未能解析顶级域名称,请参阅 Microsoft 知识库的文章 968372 (http://go.microsoft.com/fwlink/?LinkId=190467) 中的解决步骤。
  • 在承载 Active Directory 集成 DNS 区域并将自己指定为首选 DNS 服务器的域控制器上,启动时间可能会长达 20 分钟或更长,并且 DNS 日志中可能会出现事件 ID 4013。在打开 DNS 管理单元时,可能会出现以下错误消息:
    “无法与 Server Win2k8DC 联系。错误为:此服务器不可用。还要添加吗?”
    在打开 Active Directory 用户和计算机时,可能会出现以下错误消息:
    “不能定位名称信息。”
    当 DNS 服务器服务等待 AD DS 的初始同步完成,但由于必须解析的 DNS 记录存储在 Active Directory 集成的区域中(而本地 DNS 服务器无法访问该区域),而导致 AD DS 初始同步无法完成时,就会发生此错误。
    请尝试按照以下方式更改配置,防止出现会记录事件 ID 4013 的情况:
    • 在 AD DS 中删除对不再存在的域控制器的引用。
    • 恢复当前在 Active Directory 林中处于脱机状态的域控制器的运行。
    • 在 DNS 配置中避免单点故障。例如,列出多台备用 DNS 服务器。
    • 配置承载了 Active Directory 集成 DNS 区域的域控制器,使其指向同一个站点和中心站点中的其他 DNS 服务器。
    • 尽可能错开企业中各台 DNS 服务器的重新启动时间。
    • 在关键地点安装不间断电源 (UPS) 设备,确保停电后 DNS 服务器的可用性,并利用现场发电机来增强 UPS 供电的 DNS 服务器。
  • 默认情况下,运行 Windows Server 2008 R2 的服务器启用了 DNS 扩展机制 (EDNS)。有关更多信息,请参阅升级到 Windows Server 2008 和 Windows Server 2008 R2 时的已知问题
      

本节介绍运行不同版本 Windows Server 的 DNS 服务器的 IPv6 和 AAAA 资源记录的互操作性问题。有关将 DNS 与 IPV4 和 IPv6 结合使用的更多信息,请参阅针对 IPv6/IPv4 共存配置 DNS (http://go.microsoft.com/fwlink/?LinkId=186688)(可能为英文网页)。

 

问题 Windows Server 2008 R2 Windows Server 2008 Windows Server 2003

注册 AAAA 记录

Yes

Yes

Yes

复制 AAAA 记录

Yes

Yes

Yes

支持 AAAA 记录类型

Yes

Yes

Yes

侦听 IPv6 网络接口

Yes

需要 Windows Server 2008 SP2

提供 Dnscmd.exe IPv6 支持

      

有关可能影响这些 Windows Server 版本的特定问题的更多信息,请阅读以下发行说明:

Windows Server 2008 发行说明 (http://go.microsoft.com/fwlink/?LinkID=99299)

Windows Server 2008 R2 发行说明 (http://go.microsoft.com/fwlink/?LinkID=139330)

默认情况下,Windows Server 2008 R2 上启用了 DNS 扩展机制 (EDNS)。如果在运行 Windows 2000、Windows Server 2003 或 Windows Server 2008 的 DNS 服务器升级或更换为运行 Windows Server 2008 R2 的 DNS 服务器之后,原本在旧 DNS 服务器上可以正常工作的查询失败,或者如果旧 DNS 服务器可以解析的查询却不能被 Windows Server 2008 R2 DNS 服务器解析,请使用以下命令禁用 EDNS:

dnscmd /Config /EnableEDnsProbes 0          

如果某个域中具有新构建的客户端计算机,则在登录或注销该域时,可能会出现 5 到 10 分钟的延迟。将计算机加入 Active Directory 域之后,就可能会出现此问题。这会影响运行 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 的计算机。导致此问题的原因可能是在客户端计算机与林的根域控制器之间缺少连接。有关此问题的原因和解决步骤的更多信息,请参阅 Microsoft 知识库中的文章 971198 (http://go.microsoft.com/fwlink/?LinkId=184883)。

如果将运行 Windows Server 2008 R2 的域控制器部署到包含 Windows Server 2003 和 Windows Server 2008 域控制器的现有域中,并且运行一个选中了“此帐户需要使用 DES 加密类型”复选框的服务帐户,则运行 Windows Server 2008 R2 的域控制器的系统日志中可能会出现事件 ID 16,即使为 Windows Server 2008 R2 启用数据加密标准 (DES) 加密(默认是禁用的),也是如此。Windows Server 2003 和 Windows Server 2008 域控制器可正常处理身份验证请求,而不会出现错误。

导致此问题的原因是 Windows Server 2008 R2 域控制器未能使用包含 DES 加密设置的第二种数据结构 BLOB,即使能够通过对 Windows Server 2008 R2 域控制器进行身份验证来成功入站复制该结构,也不能使用。在运行 Windows Server 2008 R2 和 SP1 的域控制器上,已经修复了此问题。

若要在运行 Windows Server 2008 R2(无 SP1)的域控制器上解决此问题,请执行以下操作:

  1. 在启用 DES 加密的域控制器的组织单元 (OU) 上,链接或修改组策略对象 (GPO)。
    有关更多信息,请参阅 Microsoft 知识库中的文章 977321 (http://go.microsoft.com/fwlink/?LinkId=177717)(可能为英文网页)。确保已配置策略,以便启用所有加密类型。
  2. 在 Active Directory 用户和计算机管理单元中,为 SAP 服务帐户选中“此帐户需要使用 DES 加密类型”复选框。
  3. 在运行 Windows Server 2008 R2(无 SP1)的所有域控制器上安装来自 Microsoft 知识库的 文章 978055 (http://go.microsoft.com/fwlink/?LinkId=185219) 中的修补程序。无需在现有域控制器上删除并重新安装 AD DS,即可安装该修补程序。
      

与 Windows 2000 和 Windows Server 2003 域控制器相比,Windows Server 2008 和 Windows Server 2008 R2 域控制器具有以下安全默认设置。

 

加密类型或策略

Windows Server 2008 默认设置

Windows Server 2008 R2 默认设置

注释

AllowNT4Crypto

已禁用

已禁用

第三方服务器消息块 (SMB) 客户端可能与 Windows Server 2008 和 Windows Server 2008 R2 域控制器上的安全默认设置不兼容。在所有情况下,均可以放宽这些设置以实现互操作性,但安全性将会受到影响。有关更多信息,请参阅 Microsoft 知识库中的文章 942564 (http://go.microsoft.com/fwlink/?LinkId=164558)(可能为英文网页)。

DES

已启用

已禁用

Microsoft 知识库中的文章 977321 (http://go.microsoft.com/fwlink/?LinkId=177717)(可能为英文网页)。

集成身份验证的 CBT/扩展保护

N/A

已启用

请参阅 Microsoft 安全顾问 (937811) (http://go.microsoft.com/fwlink/?LinkId=164559)(可能为英文网页)和 Microsoft 知识库上的文章 976918 (http://go.microsoft.com/fwlink/?LinkId=178251)(可能为英文网页)。

根据需要,检查并安装 Microsoft 知识库中的文章 977073 (http://go.microsoft.com/fwlink/?LinkId=186394)(可能为英文网页)中的修补程序。

LMv2

已启用

已禁用

Microsoft 知识库中的文章 976918 (http://go.microsoft.com/fwlink/?LinkId=178251)(可能为英文网页)。

      

无论使用哪种虚拟主机软件产品,请阅读在 Hyper-V 中运行域控制器 (http://go.microsoft.com/fwlink/?LinkID=139651) 以了解与运行虚拟化域控制器相关的特殊要求。特定要求如下:

  • 避免单点故障,例如使域或林中的所有域控制器均位于同一台 VM 主机上,或者位于同一个 SAN 或数据中心内等等。
  • 不要停止或暂停域控制器。
  • 不要还原域控制器角色计算机的快照。此操作会导致更新序列号 (USN) 回滚,而这可能导致域控制器数据库之间的永久性不一致。
  • 域控制器角色计算机的所有物理到虚拟 (P2V) 转换都应在脱机模式下进行。System Center Virtual Machine Manager 针对 Hyper-V 强制执行这一操作。有关其他虚拟化软件的信息,请参阅供应商文档。
  • 根据针对您的宿主软件提供的建议,配置虚拟化域控制器以便与时间源同步。
  • 有关在虚拟机上运行域控制器的更多注意事项,请参阅 Microsoft 知识库中的文章 888794 (http://go.microsoft.com/fwlink/?LinkID=141292)(可能为英文网页)。
      

针对 Windows Server 2008 和 Windows Server 2008 R2 操作系统的本地和远程管理工具进行了以下更改。

  • 服务器管理器安装服务器角色(如 Active Directory 域服务)时,还将在本地安装可用于管理该角色的所有 GUI 和命令行工具。若要在本地安装工具以管理其他服务器角色,请在服务器管理器中单击“添加功能”。
  • 先前位于管理工具包 (ADMINPACK.MSI)、支持工具 (SUPPTOOLS.MSI) 和资源工具包工具中的 GUI 和命令行工具现已合并为一个名为远程服务器管理工具 (RSAT) 的集合,它们可从 Microsoft 下载中心获得,并安装到 Windows Vista 或 Windows 7 等客户端操作系统上。
  • 随着 64 位硬件和操作系统的日益普及,还发布了基于 x86(32 位)和基于 x64(64 位)版本的管理工具。
  • 要使 RSAT 安装的管理工具显示在 Windows Vista 计算机的“开始”菜单中,还需要执行其他步骤。有关这些其他步骤,请参阅以下过程。
  1. 右键单击“开始”,然后单击“属性”。

  2. 在“[开始] 菜单”选项卡上,单击“自定义”。

  3. 在“自定义 [开始] 菜单”对话框中,向下滚动到“系统管理工具”,然后单击“在 [所有程序] 菜单和 [开始] 菜单上显示”。

  4. 单击“确定”。

一般而言,管理工具只能在发布它们的操作系统版本上安装和正确运行。例如,Windows Server 2008 管理工具只能在 Windows Vista 客户端计算机和 Windows Server 2008 服务器计算机上安装和运行。另一个例子是,如果您尝试从 Windows Server 2003 中使用 DNS 管理单元或 Dnscmd.exe 来管理 Windows Server 2008 R2 DNS 服务器,会出现错误“禁止访问”。

从服务器操作系统磁盘复制文件的管理工具通常不能在相应的客户端操作系统上执行,并且得不到支持。例如,从 Windows Server 2008 操作系统磁盘复制到 Windows Vista 的工具将不能运行。请为用于管理服务器的客户端计算机下载正确版本 RSAT,而不是复制工具。

有关更多信息,请参阅如何在本地和远程管理 Microsoft Windows 客户端和服务器计算机 (http://go.microsoft.com/fwlink/?LinkId=177813)(可能为英文网页)。

有关更多信息,请参阅安装远程服务器管理工具 (http://go.microsoft.com/fwlink/?LinkID=153624)(可能为英文网页)。

      

确保已正确配置以下域控制器角色以同步 Windows 时间服务 (W32time)。

物理计算机上的林根主域控制器 (PDC) 应从可靠外部时间源来同步时间。有关更多信息,请参阅在 PDC 仿真器上配置 Windows 时间服务 (http://go.microsoft.com/fwlink/?LinkId=91969)(可能为英文网页)。

物理硬件或 Hyper-V 上安装的所有其他域控制器都应使用默认的域层次结构(不需要更改配置)。

对于在非 Microsoft 虚拟化软件上运行的域控制器,请向供应商咨询。

Windows Server 2008 和 Windows Server 2008 R2 域控制器添加了时间回滚保护,以帮助阻止域控制器采用错误的时间。建议您通过使用组策略在 Windows Server 2003 域控制器以及 Windows Server 2008 和 Windows Server 2008 R2 Hyper-V 主机上添加时间回滚保护,以确保在执行前拥有策略详细信息修补程序。有关更多信息,请参阅 Microsoft 知识库中的文章 884776 (http://go.microsoft.com/fwlink/?LinkId=178255)。

最后,工作组虚拟主机和加入域的虚拟主机计算机上的时间应配置如下:

对于工作组主机计算机:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Parameters\TYPE (REG_SZ) = NTP
  • HKLM\system\CurrentControlSet\Services\W32Time\Parameters\NtpServer (REG_DWORD) = <时间服务器的完全限定主机名,如 time.windows.com>,0x08
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval (REG_DWORD) = 900(十进制)
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection (REG_DWORD):2a300(十六进制)或 172800(十进制)
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection (REG_DWORD):2a300(十六进制)或 172800(十进制)

加入域的主机计算机:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32time\Config\MinPollInterval (REG_DWORD):6(十进制)
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32time\Config\MaxPollInterval (REG_DWORD):10(十进制)
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection (REG_DWORD):2a300(十六进制)或 172800(十进制)
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection (REG_DWORD):2a300(十六进制)或 172800(十进制)
      
  1. 林中的所有域控制器都应满足以下条件:
    1. 处于联机状态。
    2. 运行正常(运行 dcdiag /v 以查看是否存在问题。)
    3. 已成功入站复制和出站复制所有本地保持的 Active Directory 分区(在 Excel 中查看 repadmin /showrepl * /csv)。有关更多信息,请参阅 Repadmin 要求、语法和参数说明 (http://go.microsoft.com/fwlink/?LinkID=147380)(可能为英文网页)中的 CSV 格式。
    4. 已成功入站复制和出站复制 SYSVOL。
    5. 过时或不存在的域控制器或无法进行复制的域控制器的元数据应从它们的相应域中删除。有关更多信息,请参阅清理已删除可写域控制器的元数据(可能为英文网页)中的内容,这些内容可在有关林恢复过程的附录 A(http://go.microsoft.com/fwlink/?LinkID=164553)(可能为英文网页)中找到。
    6. 所有域都必须位于 Windows 2000 纯模式功能级别或更高级别,以便运行 adprep /domainprep。在此功能级别上不允许有 Windows NT 4.0 域控制器。
    7. 拥有足够的可用磁盘空间来进行升级。
      有关 Windows Server 2008 和 Windows Server 2008 R2 的磁盘空间要求的更多信息,请参阅安装 Windows Server 2008 和 Windows Server 2008 R2 的系统要求。管理员的任务是准确预测 Windows Server 2008 和 Windows Server 2008 R2 域控制器上 Ntds.dit 文件的短期和长期增长,以便可以在物理和虚拟域控制器上正确设置承载 Active Directory 文件的硬盘和分区的大小。
  2. 检查 Windows Server 2008 和 Windows Server 2008 R2 中是否存在与安全默认设置的不兼容性。有关更多信息,请参阅 Windows Server 2008 和 Windows Server 2008 R2 中的安全默认设置
  3. 部署 Windows Server 2008 或 Windows Server 2008 R2 域控制器之前,请下载适用于 Active Directory 林的最新 Service Pack 和相关修补程序。
    1. 对于向 Windows Server 2008 或 Windows Server 2008 R2 的升级,请通过为操作系统添加最新的 Service Pack 和修补程序来创建集成安装介质(“补充”)。截至 2009 年 9 月,Windows Server 2008 的最新 Service Pack 是 Service Pack 2 (SP2)。有关获取最新 Service Pack 的信息,请参阅 Microsoft 知识库中的文章 968849 (http://go.microsoft.com/fwlink/?LinkId=164585)(可能为英文网页)和安装 Windows Server 2008 Service Pack 2 (http://go.microsoft.com/fwlink/?LinkId=164586)。 Windows Server 2008 R2 包含来自 Windows Server 2008 SP2 的更新。若要确保具有所有最新更新,请参阅 Windows Update (http://go.microsoft.com/fwlink/?LinkID=47290) 或参阅 Microsoft 知识库中的文章 968849 (http://go.microsoft.com/fwlink/?LinkID=164585)(可能为英文网页)以了解下载信息。
      1. 如果您正在部署 RODC,请参阅 Microsoft 知识库中的文章 944043 (http://go.microsoft.com/fwlink/?LinkID=122974)(可能为英文网页)。在 Windows 计算机上和适用于您的计算环境的方案中下载并安装修补程序。
      2. 对于 Windows Server 2008 R2:如果在正在就地升级到 Windows Server 2008 R2 的 Windows Server 2008 计算机上安装了 Active Directory 管理工具 (ADMT) 3.1,请在升级前删除 ADMT 3.1,否则无法将其卸载。此外,ADMT 3.1 不能安装在 Windows Server 2008 R2 计算机上。
      3. 下表列出了 Windows Server 2008 的修补程序。您可以单独安装修补程序,也可以安装包含修补程序的 Service Pack。

         

        描述

        Microsoft 知识库文章

        Service Pack

        在启用 Windows Server 2008 或 Windows Vista SP1 中的 Windows 时间服务组策略设置时,Windows 时间服务中发生了意外行为

        961027 (http://go.microsoft.com/fwlink/?LinkId=182336)(可能为英文网页)

        Windows Server 2008 SP2

        配置为使用日语区域设置的域控制器

        949189 (http://go.microsoft.com/fwlink/?LinkId=164588)(可能为英文网页)

        Windows Server 2008 SP2

        在升级到 Windows Server 2008 的 Windows Server 2003 文件服务器上对 EFS 文件访问进行加密

        948690 (http://go.microsoft.com/fwlink/?LinkID=106115)(可能为英文网页)

        不包括在任何 Windows Server 2008 Service Pack 中

        Windows Server 2008 辅助 DNS 服务器上的记录在区域传送后删除

        953317 (http://go.microsoft.com/fwlink/?LinkId=164590)(可能为英文网页)

        Windows Server 2008 SP2

        没有可用的转发器时使用根提示

        2001154 (http://go.microsoft.com/fwlink/?LinkId=165959)(可能为英文网页)

         

        在“组策略首选项”中设置区域设置信息会导致事件日志和依赖服务失败。如果更改“区域选项”—“用户区域设置”—“已启用”,则 Windows 事件日志服务、DNS 服务器服务和任务计划程序服务将无法启动。

        有关保护和解析,请参阅 951430 (http://go.microsoft.com/fwlink/?LinkId=165960)(可能为英文网页)。

        将包括在 Windows Server 2008 SP3 中

        GPMC 筛选器修补程序

        949360 (http://go.microsoft.com/fwlink/?LinkID=184908)(可能为英文网页)

        Windows Server 2008 SP2

        如果使用传递来解析 DNS 名称(而不是后缀搜索列表),请应用 DNS 传递修补程序。

        957579 (http://go.microsoft.com/fwlink/?LinkId=178224)(可能为英文网页)

        Windows Server 2008 SP2

        组策略首选项再发布

        943729 (http://go.microsoft.com/fwlink/?LinkId=164591)(可能为英文网页)

        974266 (http://go.microsoft.com/fwlink/?LinkID=165035)(可能为英文网页)

        Windows Server 2008 SP2

        同步目录服务还原模式 (DSRM) 管理员密码与域用户帐户

        961320 (http://go.microsoft.com/fwlink/?LinkId=177814)(可能为英文网页)

         

        使用 Crypt32.dll 的应用程序在运行 Windows Vista 或 Windows Server 2008 的计算机上会崩溃

        982416 (http://go.microsoft.com/fwlink/?LinkID=196889)(可能为英文网页)

        Windows Server 2008 SP3

        如果 Windows Server 2008 服务器运行了 IIS 且承载了 SSL 证书,则可能需要安装文章 2379016 中的修补程序

        2379016 (http://go.microsoft.com/fwlink/?LinkId=199533)(可能为英文网页)

        Windows Server 2008 SP3

        如果 Windows Server 2008 域控制器使用 Active Directory 集成的区域并且具有 Microsoft 6to4 Adapter,则将自动删除该域控制器的 AAAA 记录

        2408181 (http://go.microsoft.com/fwlink/?LinkId=204910)(可能为英文网页)

        Windows Server 2008 SP3

        下表列出了针对 Windows Server 2008 R2 的修补程序。

         

        说明

        Microsoft 知识库文章

        注释

        到 BIND 服务器的 Windows Server 2008 R2 动态 DNS 更新通过错误状态 9502 来记录 NETLOGON 事件 5774

        977158 (http://go.microsoft.com/fwlink/?LinkId=178225)(可能为英文网页)

        Windows Server 2008 R2 SP1

        如果修改了安全策略,则通过状态 0x534 来记录事件 ID 1202

        974639 (http://go.microsoft.com/fwlink/?LinkId=165961)(可能为英文网页)

        Windows Server 2008 R2 SP1

        TimeZoneKeyName 注册表项名称在 64 位升级时已损坏

        2001086 (http://go.microsoft.com/fwlink/?LinkId=178226)(可能为英文网页)

        仅在动态 DST 区域中基于 x64 的服务器升级时发生。若要了解的服务器是否受到影响,请单击任务栏时钟。如果时钟飞出指示出时区问题,则请单击链接以打开日期和时间控制面板。

        架构更新后在目录服务日志中记录事件 ID 1988

        2005074 (http://go.microsoft.com/fwlink/?LinkId=185205)(可能为英文网页)

        某些正在接近逻辑删除生存时间的已删除对象可能仍存在于复制协议源中,并且向应复制出的对象的部分属性集添加了一个属性。如果复制同一对象时在目标域控制器上对该对象进行垃圾回收,则目标域控制器将记录事件 ID 1988 和事件 ID 1388(可能)。

        使用根提示的 Windows Server 2008 R2 DNS 服务器无法解析某些 DNS 查询。

        832223 (http://go.microsoft.com/fwlink/?LinkId=186576)(可能为英文网页)

        修补程序正在开发中。还计划用于 Windows Server 2008 R2 SP1。

        Windows Server 2008 R2 域控制器无法对启用了 DES 的客户端进行身份验证。

        文章 978055 (http://go.microsoft.com/fwlink/?LinkId=185219)(可能为英文网页)

        Windows Server 2008 R2 SP1

        对 Windows Server 2008 R2 域控制器进行身份验证时,Windows XP 或 Windows Server 2003 成员服务器上的摘要式身份验证失败

        977073 (http://go.microsoft.com/fwlink/?LinkId=186934)(可能为英文网页)

        Windows Server 2008 R2 SP1

        在 Windows Server 2008 R2 中,当 DNS 服务器服务处理大量通过 DNS 服务器插件接口提交的并发查询时,该服务可能会出现故障

        2411958 (http://go.microsoft.com/fwlink/?LinkID=204908)(可能为英文网页)

        Windows Server 2008 R2 SP1

        如果您拥有使用 Windows Server 2008 管理模板 (ADMX) 文件承载的组策略中央存储,则可能必须升级 ADMX 文件或删除中央存储。有关更多信息,请参阅 Windows 7、Windows Server 2008 R2 和组策略中央存储 (http://go.microsoft.com/fwlink/?LinkId=182337)(可能为英文网页)。
      

本节介绍如何运行以下 adprep 命令。

如果在运行 Adprep 命令时遇到错误,请参阅 Adprep 错误

        
  1. 标识保持架构操作主机角色(也称为灵活单主机操作或 FSMO 角色)的域控制器,并验证它自启动以来已入站复制了架构分区。
    1. 运行 dcdiag /test:knowsofroleholders 命令。如果将架构角色分配给具有已删除 NTDS 设置对象的域控制器,则请按照 Microsoft 知识库中的文章 255504 (http://go.microsoft.com/fwlink/?LinkID=70776) 中的步骤操作,将该角色获取到林根域中的一个活动域控制器。
    2. 使用林根域中具有 Enterprise Admins、Schema Admins 和 Domain Admins 凭据的帐户登录架构操作主机。默认情况下,林根域中的内置管理员帐户拥有这些凭据。
    3. 在架构主机上运行 repadmin /showreps 命令。如果自启动以来架构主机已入站复制了架构分区,则继续执行下一步。否则,请使用立即复制副本命令 Dssite.msc 来启动架构分区到架构主机的入站复制。(请参阅通过连接强制复制 (http://go.microsoft.com/fwlink/?LinkId=164634))。还可以使用 repadmin /replicate <架构主机名称> <复制伙伴 GUID> 命令。showreps 命令将返回架构主机的所有复制伙伴的全局唯一标识符 (GUID)。
  2. 针对升级找到正确的 Adprep 版本:
    • Windows Server 2008 安装介质包含一个 adprep 版本 (Adprep.exe),它位于 Windows Server 2008 安装磁盘的 \sources\adprep 文件夹中,可在基于 x86 和基于 x64 的操作主机上运行。
    • Windows Server 2008 R2 安装介质包含基于 x86 (Adprep32.exe) 和基于 x64 (Adprep.exe) 的 adprep 版本,它位于 Windows Server 2008 R2 安装磁盘的 \support\adprep 文件夹中。
    • 使用 Windows 2000 Server、Windows Server 2003 或 Windows Server 2008 架构版本,可以将 Windows Server 2008 和 Windows Server 2008 R2 架构更新直接添加到林中。
    • 在 Windows Server 2000 SP4、Windows Server 2003、Windows Server 2003 R2 和 Windows Server 2008(用于 Windows Server 2008 R2)操作主机上,可以直接运行 Windows Server 2008 和 Windows Server 2008 R2 版本的 adprep.exe。
    • 如果将 Adprep.exe 从安装介质复制到本地计算机或网络共享,则请复制整个 adprep 文件夹,并提供到 Adprep.exe 文件的完整路径。
  3. 使用 adprep /forestprep 更新林架构。
    使用具有 Enterprise Admins、Schema Admin 和 Domain Admin 凭据的帐户登录到架构主机控制台后,请从 Windows Server 2008 或 Windows Server 2008 R2 安装介质来运行相应版本的 adprep /forestprep。请指定到 Adprep.exe 的完整路径,以避免运行 PATH 环境变量中可能存在的其他 Adprep 版本。
    例如,如果从 DVD 驱动器或分配了驱动器号 D: 的网络路径运行 Windows Server 2008 版本的 Adprep,则要运行的命令如下:
     
    >D:\sources\adprep\adprep /forestprep
    
    在 64 位架构主机上运行 Windows Server 2008 R2 Adprep 的语法如下:
     
    <DVD 驱动器号>:\support\adprep\adprep /forestprep
    
    在基于 32 位 x86 的架构主机上运行 Windows Server 2008 R2 Adprep 的语法如下:
     
    D:\support\adprep\adprep32 /forestprep
    
    有关 Windows Server 2008 adprep /forestprep 所执行的操作的列表,请参阅 Windows Server 2008:林范围的更新 (http://go.microsoft.com/fwlink/?LinkId=164636)。
    有关 Windows Server 2008 R2 adprep /forestprep 所执行的操作的列表,请参阅 Windows Server 2008 R2:林范围的更新 (http://go.microsoft.com/fwlink/?LinkId=164637)。

如果遇到错误,请参阅本主题后面的“Forestprep 错误”。

        

在已使用 Windows Server 2008 adprep /rodcprep 进行准备的林中,不必运行 Windows Server 2008 R2 adprep /rodcprep。请转到 adprep /domainprep

如果您是首次部署 RODC:

在使用 Enterprise Admins 凭据登录到架构主机之后,请运行 adprep /rodcprep

note备注
如果使用 Enterprise Admin 凭据进行登录,则 Rodcprep 将在林中的任意成员计算机或域控制器上运行。可以在 adprep /domainprep 之前或之后运行 adprep /rodcprep。为方便起见,建议您在架构主机上在 adprep /forestprep 之后立即运行 adprep /rodcprep,因为此操作也需要 Enterprise Admins 凭据。

 

 

对于 Windows Server 2008 Rodcprep,请指定到 Adprep 的完整路径。例如,如果 DVD 或网络路径分配了驱动器 D:,则运行以下命令:

 
c:\windows >D:\sources\adprep\adprep /rodcprep

对于 Windows Server 2008 R2:

  1. 如果运行 Rodcprep 的计算机是 64 位计算机,则运行以下命令:
     
    D:\support\adprep\adprep /rodcprep
    
  2. 如果运行 Rodcprep 的计算机是 32 位计算机,则运行以下命令:
     
    D:\support\adprep\adprep32 /rodcprep
    

如果遇到错误,请参阅本主题后面的“Rodcprep 错误”。

在部署 RODC 之前,根据需要在 Windows XP 或 Windows Server 2003 计算机上安装 RODC 兼容包。有关更多信息,请参阅 Microsoft 知识库中的文章 944043 (http://go.microsoft.com/fwlink/?LinkID=122974)。

        

对于要向其添加 Windows Server 2008 或 Windows Server 2008 R2 域控制器的每个域:

  1. 运行 netdom query fsmo 或 dcdiag /test:<FSMO 测试名称> 以标识结构操作主机。
  2. 如果将操作主机角色分配给已删除或脱机域控制器,则将根据需要传送或获取角色。
  3. 使用具有 Domain Admins 凭据的帐户登录到结构主机。
  4. 使用以下语法从 Windows Server 2008 操作系统磁盘运行 Windows Server 2008 adprep /domainprep /gpprep
    note备注
    如果已针对 Windows Server 2003 运行过以下命令,就不必在该命令中添加 /gpprep 参数。

     

     

     
    <驱动器>:\<路径>\adprep /domainprep /gpprep
    
    例如,如果 DVD 或网络路径分配了驱动器 D:,则使用以下语法:
     
    D:\sources\adprep\adprep /domainprep /gpprep
    
    对于 Windows Server 2008 R2:
    如果结构主机是 64 位的,则使用以下语法:
     
    D:\support\adprep\adprep /domainprep /gpprep
    
    如果结构主机是 32 位的,则使用以下语法:
     
    D:\support\adprep\adprep32 /domainprep /gpprep
    
    如果遇到错误,请参阅本主题后面的“Domainprep 错误”。
      

有关可以升级哪些种类的操作系统和域控制器的背景信息,请参阅支持的就地升级路径。本节包含下列主题:

        

如果您正在进行这些就地升级中的一种升级,请完成以下步骤:

  • 从 Windows Server 2003 域控制器升级到 Windows Server 2008 或 Windows Server 2008 R2
  • 从 Windows Server 2008 或 Windows Server 2003 或域控制器升级到 Windows Server 2008 R2
  1. 如果在正在就地升级到 Windows Server 2008 的 Windows Server 2003 域控制器上安装了日语区域设置,则请阅读 Microsoft 知识库中的文章 949189 (http://go.microsoft.com/fwlink/?LinkID=164588)(可能为英文网页)并遵照执行。
  2. 如果在正在升级到 Windows Server 2008 R2 的 Windows Server 2003 或 Windows Server 2008 域控制器上安装了 Active Directory 迁移工具 (ADMT) 版本 3.1,则请在升级前卸载 ADMT 3.1。
  3. 提升新的域控制器时,请确保关于新提升的域控制器的对象信息(域分区中的计算机帐户和配置分区中的 NTDS 设置对象)已出站复制到足够数量的域控制器上,在您退出具有该对象信息的林中的唯一域控制器之前,这些域控制器将保留在林中。例如,如果提升 DC2 并使用 DC1 作为帮助程序域控制器,则在退出 DC1 前,请确保 DC1 已将关于 DC2 的对象信息出站复制到其他域控制器上。在新提升的域控制器使用的帮助程序域控制器在出站复制发生之前快速降级时,这个问题尤其严重。
  4. 运行 <dvd 或网络路径>:\setup.exe
  5. 阅读 Microsoft 知识库中的文章 942564 (http://go.microsoft.com/fwlink/?LinkID=164558)(可能为英文网页),并针对您的环境考虑使用 AllowNT4Cryto 策略的正确设置。
  6. 如果 dcpromo.exe 失败,请参阅 Dcpromo 错误
  7. 如果在正在就地升级到 Windows Server 2008 的 Windows Server 2003 计算机上具有远程加密的加密文件系统 (EFS) 文件,请阅读 Microsoft 知识库中的文章 948690 (http://go.microsoft.com/fwlink/?LinkID=106115)(可能为英文网页)并遵照执行。此问题不适用于已升级到 Windows Server 2008 R2 的域控制器。
  8. 在就地升级后考虑安装以下修补程序,除非它们已集成到安装介质中:
    • 如果正在安装 Windows Server 2008,则请安装 Service Pack 2 (SP2)。 Windows Server 2008 R2 包含 Windows Server 2008 SP2 修补程序。
    • 如果在 Windows Vista 或 Windows Server 2008 计算机上使用组策略首选项,则请下载 Microsoft 知识库中的文章 943729 (http://go.microsoft.com/fwlink/?LinkID=164591) 的 2009 年 7 月更新。
    • 在 Microsoft 知识库中的文章 949360 (http://go.microsoft.com/fwlink/?LinkID=184908)(可能为英文网页)中下载组策略管理控制台 (GPMC) 筛选器 bug 的修补程序。
    • 如果使用传递(与后缀搜索列表相对)来解析单标签或非完全限定 DNS 名称的 DNS 查询,则请下载 DNS 传递修补程序。请参阅 Microsoft 知识库中的文章 957579 (http://go.microsoft.com/fwlink/?LinkId=166140)(可能为英文网页)。

如果正在将 Windows Server 2008 或 Windows Server 2008 R2 可写域控制器就地到现有 Windows 2000 Server、Windows Server 2003 或 Windows Server 2008 域,则请完成以下步骤:

  1. 验证目标域是否位于 Windows 2000 纯模式域功能级别或更高级别。
  2. 如果正在提升配置为使用日语的 Windows Server 2008 域控制器,则请阅读 Microsoft 知识库中的文章 949189 (http://go.microsoft.com/fwlink/?LinkID=164588)(可能为英文网页)并遵照执行。升级之后和第一次启动进入正常模式之前,应立即安装修补程序。
  3. 从 Windows“开始”菜单中运行 Dcpromo.exe(或在服务器管理器中安装 Active Directory 域服务角色,然后运行 Dcpromo)。
  4. 出现 AllowNT4Crytpo 页面时,请阅读 Microsoft 知识库中的文章 942564 (http://go.microsoft.com/fwlink/?LinkID=164558)(可能为英文网页),并针对您的环境考虑使用 AllowNT4Cryto 的正确设置。
  5. 如果遇到错误,请参阅本主题末尾处的 Dcpromo 错误列表。

如果正在将 Windows Server 2008 RODC 就地升级到现有 Windows Server 2003 域、Windows Server 2008 域或混合使用这些操作系统的域,则请完成以下步骤:

  1. 如果 Dcpromo 中没有用于安装 RODC 的选项,则请验证林功能级别是否为 Windows Server 2003 或更高级别。
  2. 如果没有用于安装 RODC 的选项,并且错误消息指示出该域中没有 Windows Server 2008,则请验证该域中是否存在 Windows Server 2008 域控制器,并验证正在提升的 RODC 是否可访问该域控制器。
  3. 如果错误消息指示出已将访问拒绝,则请参阅 Microsoft 知识库。
        

对于所有域控制器:

  • 使用外部时间源配置林根 PDC。有关更多信息,请参阅使用外部时间源来配置林根 PDC (http://go.microsoft.com/fwlink/?LinkId=91969)(可能为英文网页)。
  • 对组织单位 (OUs) 和其他策略容器启用删除保护以防意外删除。
  • 为升级的和新提升的域控制器制作系统状态备份。如果您提升了新域中的第一个域控制器,并且域中还没有其他域控制器,则制作系统状态备份对于恢复意外删除情况更加重要。有关更多信息,请参阅 AD DS 备份和恢复循序渐进指南 (http://go.microsoft.com/fwlink/?LinkId=190448)。
  • 仅使用可识别 Active Directory 的备份应用程序来还原域控制器或回滚 AD DS 的内容。域控制器不支持还原由映像软件创建的快照。
        

安装 AD DS 之后,请安装以下修补程序。

note备注
无法提供完整的修补程序列表。下面是 2010 年 10 月可提供的有关 AD DS 和 DNS 服务器角色的修补程序的列表。

 

 

 

修补程序为 Windows Server 2008 应用修补程序为 Windows Server 2008 R2 应用修补程序

文章 949189 (http://go.microsoft.com/fwlink/?LinkID=164588)(可能为英文网页):日语区域设置

安装文章 949189 或 Windows Server 2008 SP2。

不适用

文章 949360 (http://go.microsoft.com/fwlink/?LinkId=184908)(可能为英文网页):GPMC 筛选器 bug

安装 Microsoft 知识库文章 949360 或 Windows Server 2008 SP2。

不适用

文章 951191 (http://go.microsoft.com/fwlink/?LinkId=184906)(可能为英文网页):KERB5KDC_ERR_C_PRINICPAL_UNKNOWN 错误

安装 Microsoft 知识库文章 951191 或 Windows Server 2008 SP2。

不适用

文章 943729 (http://go.microsoft.com/fwlink/?LinkID=164591):GPP 再发布

安装 Microsoft 知识库文章 943729 或 Windows Server 2008 SP3(如果可用)。

不适用

文章 957579 (http://go.microsoft.com/fwlink/?LinkId=184907)(可能为英文网页):DNS 传递修补程序

安装 Microsoft 知识库文章 957579 或 Windows Server 2008 SP3(如果可用)。

不适用

文章 971438 (http://go.microsoft.com/fwlink/?LinkId=185193)(可能为英文网页):GPO 不应用于作为嵌套组成员的计算机

安装 Microsoft 知识库文章 971438 或 Windows Server 2008 SP3(如果可用)。

不适用

文章 981370 (http://go.microsoft.com/fwlink/?LinkId=206168):如果在 Windows Server 2008 中指向某些 RWDC 的链接断开了,则 RODC 上的 DNS 服务器服务会延迟几分钟才能响应 DNS 查询

安装 Microsoft 知识库文章 981370 或 Windows Server 2008 SP3(如果可用)。

不适用

文章 976494 (http://go.microsoft.com/fwlink/?LinkId=206174):在运行 Windows 7 或 Windows Server 2008 R2 的计算机上使用 LookupAccountName 函数时,出现错误 1789

不适用

安装 Microsoft 知识库文章 976494 或 Windows Server 2008 R2 SP1(如果可用)。

文章 978277 (http://go.microsoft.com/fwlink/?LinkId=184911)(可能为英文网页):指定的帐户不存在

不适用

安装 Microsoft 知识库文章 978277 或 Windows Server 2008 R2 SP1(如果可用)。

文章 978387 (http://go.microsoft.com/fwlink/?LinkId=184915)(可能为英文网页):Dcdiag 失败,错误代码 0x621

不适用

安装 Microsoft 知识库文章 978387 或 Windows Server 2008 R2 SP1(如果可用)。

文章 978516 (http://go.microsoft.com/fwlink/?LinkId=185190)(可能为英文网页):多次读取同一组文件时有明显延迟

不适用

安装 Microsoft 知识库文章 978516 或 Windows Server 2008 R2 SP1(如果可用)。

文章 978837 (http://go.microsoft.com/fwlink/?LinkId=185191)(可能为英文网页):应用 NRPT 策略设置的某些更改时,组策略管理编辑器窗口崩溃

不适用

安装 Microsoft 知识库文章 978837 或 Windows Server 2008 R2 SP1(如果可用)。

文章 2309290 (http://go.microsoft.com/fwlink/?LinkId=204904)(可能为英文网页):当 Windows Server 2008 R2 中出现后台区域加载时,DNS 服务器服务不能正确响应多标签名称解析请求

不适用

安装 Microsoft 知识库文章 2309290 或 Windows Server 2008 R2 SP1(如果可用)。

对于 RODC:

  • 如果正在部署 RODC,则请在所有 Windows Server 2008 可写域控制器上安装 Microsoft 知识库中文章 953392 (http://go.microsoft.com/fwlink/?LinkID=150337)(可能为英文网页)中的修补程序。Windows Server 2008 R2 可写域控制器上不需要此修补程序。
  • 请阅读 Microsoft 知识库中的文章 944043 (http://go.microsoft.com/fwlink/?LinkID=122974)(可能为英文网页),并在受该知识库文章中列出的方案影响的 Windows 客户端和服务器计算机上安装修正修补程序。
      

本节介绍 Adprep.exe 和 Dcpromo.exe 中的错误。如果遇到未涉及的错误,请搜索网站:Microsoft.com:“错误描述”或将您的问题发布到以下社区网站:

        

本节介绍 forestprepdomainpreprodcprep 命令的错误。

 

  • 如果错误消息指示出已将架构操作主机分配给已删除的域控制器,则请参阅 Microsoft 知识库。
  • 如果错误消息为“Adprep 无法扩展架构”或“Adprep 无法验证架构主机自上次重新启动后是否已完成一个复制周期”,请验证架构主机自重新启动后已入站复制了架构分区。请参阅有关强制复制的文章中的对所有伙伴强制复制事件 (http://go.microsoft.com/fwlink/?LinkId=164668)(可能为英文网页),并运行 repadmin /syncall 命令。
  • 如果错误消息为“回调函数失败”,请参阅有关运行 Adprep.exe 的文章中的 Adprep 无法完成,原因是回调函数失败 (http://go.microsoft.com/fwlink/?LinkId=164669)。
  • 如果错误消息为“与 Exchange 2000 之间存在架构冲突。架构没有升级。”,则请参阅 Microsoft 知识库中的文章 314649 (http://go.microsoft.com/fwlink/?LinkId=166190)。
  • 如果错误消息为“有同一链接标识符的属性已经存在”,则请参阅 Microsoft 知识库中的文章 969307 (http://go.microsoft.com/fwlink/?LinkId=164670)(可能为英文网页)。
  • 对于所有其他错误消息,请在微软帮助和支持 (http://go.microsoft.com/fwlink/?LinkID=56290) 页上进行错误消息查询,将错误消息括在引号中。
  1. 如果错误消息为“Adprep 检测到域未处于本机模式”,则请参阅提升域功能级别 (http://go.microsoft.com/fwlink/?LinkID=141249)。
  2. 如果错误消息指示出回调函数失败,则请参阅有关运行 Adprep.exe 的文章中的 Adprep 无法完成,原因是回调函数失败 (http://go.microsoft.com/fwlink/?LinkID=164669)(可能为英文网页)。
  3. 对于所有其他错误消息,请在微软帮助和支持 (http://go.microsoft.com/fwlink/?LinkID=56290) 页上进行错误消息查询,将错误消息括在引号中。
  1. 如果 Rodcprep 失败并显示错误消息“Adprep 无法联系到分区 <林范围或域范围的 DNS 应用程序分区的可分辨名称> 的副本”,该错误消息记载在 Microsoft 知识库中的文章 949257 (http://go.microsoft.com/fwlink/?LinkID=140285)(可能为英文网页)中,请运行同一文章中的 Fixfsmo.vbs 脚本,然后返回 Rodcprep,直至它运行成功。
  2. 对于所有其他错误消息,请在微软帮助和支持 (http://go.microsoft.com/fwlink/?LinkID=56290) 页上进行错误消息查询,将错误消息括在引号中。
        
  1. 如果升级回滚但没有任何屏幕错误或调试日志中未记录错误,则请验证在承载 %systemdrive、Ntds.dit 和 SYSVOL 的卷上是否有足够的可用磁盘空间。
  2. 如果错误消息为“若要将域控制器安装到此 Active Directory 林中,必须首先使用‘adprep /forestprep’准备林…”,则请验证 /forestprep 是否已运行,并且帮助程序域控制器已入站复制 /forestprep 更改。有关更多信息,请参阅运行 adprep.exe (http://go.microsoft.com/fwlink/?LinkID=142597)。
  3. 如果错误消息为“若要将域控制器安装到该 Active Directory 域中,必须首先使用“adprep /domainprep”准备域…”,则请验证 /domainprep 是否已运行,并且帮助程序域控制器已入站复制 /domainprep 更改。有关更多信息,请参阅运行 adprep.exe (http://go.microsoft.com/fwlink/?LinkID=142597)。
  4. 如果错误消息为:
    操作失败,原因是:试图将此计算机加入 <目标 DNS 域> 失败。“指定的用户已经存在。”
    原因是所提升的计算机已标识为目标域中具有相同主机名的以前提升的计算机帐户。
    解决此错误:
    1. 如果所提升的计算机正在替换具有相同计算机名称的以前降级的域控制器,则请验证从 AD DS 上删除了已降级域控制器的元数据,然后重试提升。有关更多信息,请参阅清理已删除的可写域控制器的元数据(可能为英文网页)。
    2. 如果错误依然存在,则请检查 %systemroot%\debug\DCPROMOUI.LOG,以确定由所提升的域控制器使用的复制源域控制器的名称。
    3. 验证复制源域控制器已入站复制冲突域控制器帐户的删除。复制失败和复制延迟可能会造成复制到源域控制器的删除失败。
    4. 此错误具有其他根本原因。有关更多信息,请参阅 Microsoft 知识库中的以下文章:
      • 266633 (http://go.microsoft.com/fwlink/?LinkId=179118)(可能为英文网页)
      • 273875 (http://go.microsoft.com/fwlink/?LinkId=179119)(可能为英文网页)
      • 938447 (http://go.microsoft.com/fwlink/?LinkId=179120)(可能为英文网页)
  5. 如果错误消息为:
    “此时您无法安装其他域控制器,原因是 RID 主机 <域控制器名称> 处于脱机状态”或者“此时您无法安装可写域控制器,原因是 RID 主机 <域控制器名称> 处于脱机状态。是否继续?”
    原因是 Dcpromo 尝试通过读取 CN=RID Manager$,CN=System,DC=<domain> 的 fsmoRoleOwner 属性并提取 RID 主机的 dnsHostName 来标识 RID 主机角色的所有者。Dcpromo 然后尝试使用其完全限定计算机名称,并通过端口 389 来启动到 RID 主服务器的 LDAP 的连接。如果 LDAP 连接出于任何原因而失败,Dcpromo 将确定 RID 主机处于脱机状态。RID FSMO 造成的初始同步失败不应导致此错误。
    1. 运行 repadmin /showattr fsmo_rid:ncobj:domain:/filter:(objectclass=ridmanager) /subtree 以及 netdom query fsmodcdiag /test:<FSMO 测试名称>
    2. repadmin 命令的输出将包括 fSMORoleOwner。如果从上一步骤中的命令返回的 fSMORoleOwner 可分辨名称路径已损坏或分配给一个已删除的域控制器,则请删除该域控制器的元数据,并将角色获取到一个承载该域分区的可写副本的活动域控制器。
    3. 验证已将 RID 主机角色分配给一个活动域控制器,该活动域控制器自它上次从相同域中的至少一个其他域控制器重新启动以来已成功入站复制域目录分区。
    4. 如果当前角色拥有者是域中的唯一活动域控制器,但它的 Active Directory 或 AD DS 副本引用了不再存在的域控制器,则请删除这些域控制器的过时元数据,重新启动活动域控制器,并再次尝试提升。
    有关更多信息,请参阅 Microsoft 知识库中的文章 2009385。
  6. 如果有警告指示出 Windows Server 2008 域控制器上没有为 IPv6 地址配置静态 IP 地址,则请单击“是”并完成向导。
  7. 如果安装 DNS 服务器角色的复选框不可用,则表示 Active Directory 域具有单标签 DNS 名称,或 Dcpromo.exe 在该域中无法发现其他 Microsoft DNS 服务器。
  8. 如果看到错误消息“无法创建该 DNS 服务器的委派,因为无法找到有权威的父区…”,则请参阅安装和删除 AD DS 的已知问题 (http://go.microsoft.com/fwlink/?LinkId=164418)。
  9. 如果看到错误消息“无法创建 DNS 区域…”,则请参阅 Microsoft 知识库。
  10. 如果目录服务日志中出现事件 ID 16651,则请参阅 Microsoft 知识库中的文章 316201 (http://go.microsoft.com/fwlink/?LinkId=184855)(可能为英文网页)。
  11. 如果系统无法共享 SYSVOL,则请参阅 Microsoft 知识库。
  12. 如果 Dcpromo 失败并显示错误消息“未能修改机器帐户的必需属性。访问被拒绝”,则请确保在默认域控制器策略中向管理员授予了信任计算机和用户帐户可以执行委派权限,并且已将该策略链接到域控制器 OU。还请确保帮助程序域控制器的计算机帐户在域控制器 OU 中,并且它已成功应用策略。有关更多信息,请参阅 Microsoft 知识库上的文章 232070(http://go.microsoft.com/fwlink/?LinkId=166198)(可能为英文网页)。
  13. 如果 Dcpromo 失败并显示错误消息“Active Directory 无法创建此域控制器的 NTDS 设置对象”,则请参阅 Microsoft 知识库。
    如果域控制器是多主机的,则通过不可用于生产网络上的调用的网络适配器来禁用主机 (A) 资源记录注册。
    如果域控制器是多主机的,并且网络电缆未连接到网络适配器,则禁用未使用的网络适配器,以防止它们针对客户端无法解析的 APIPA 分配的地址 (169.254.*.*) 来注册主机 (A) 资源记录。
posted on 2013-05-22 22:46  周德顺  阅读(12726)  评论(0编辑  收藏  举报